62274

Patch-Day Vorschau: Microsoft kündigt fünf Sicherheitsupdates an

07.04.2006 | 10:26 Uhr |

Microsoft wird am kommenden Dienstag, dem monatlichen Patch-Day, insgesamt fünf Sicherheitsupdates für seine Produkte veröffentlichen. Darunter auch einen kritischen Patch für den Internet Explorer.

Microsoft hat angekündigt , dass am kommenden Patch-Day (11. April) insgesamt fünf Sicherheitsupdates veröffentlicht werden. Vier Updates werden Lücken in Windows schließen und ein Update eine Lücke, die sowohl Windows als auch Office betrifft. Die nur Windows betreffenden Lücken, die geschlossen werden, haben maximal den Schweregrad "kritisch". Den Schweregrad der Lücke, die Windows und Office betrifft, gibt Microsoft mit "moderat" an.

Das kumulative Update-Paket für den Internet Explorer wird aktualisiert werden. Neu hinzukommen wird ein Update, das die seit zwei Wochen bekannte und seitdem auch von Angreifern ausgenutzte "CreateTextRange"-Lücke schließen wird.

Sicherheitsexperten hatten von Microsoft gefordert, vor dem Patch-Day und damit außer der Reihe den IE-Patch auszuliefern. Das wird allerdings nicht passieren. Laut Angaben von Stephen Toulouse, Security Program Manager bei Microsoft Security Response Center, hat der Test- und Entwicklungsplan für den betreffenden Patch vor zwei Wochen nach Bekannt werden der Lücke begonnen und der Patch wird erst zum Patch-Day fertig sein.

Die Sicherheitsexperten von Eeye hatten bereits kurz nach Bekannt werden der IE-Lücke einen Patch veröffentlicht ( wir berichteten ). Microsoft hatte vor der Installation des inoffiziellen Flickens abgeraten. Ungeachtet dessen registrierte Eeye bis dato über 100.000 Downloads. Der inoffizielle Patch wird sich laut Angaben von Eeye automatisch entfernen, sobald Microsoft offiziell seinen Patch für die betreffende Lücke veröffentlicht.

Unklar ist, ob Microsoft am kommenden Patch-Day auch diverse andere neu bekannt gewordene Lücken im Internet Explorer schließen wird. Dazu zählt beispielsweise der "TextRange()"-Bug, den Angreifer ausnutzen könnten, um die Kontrolle über ein System zu übernehmen. Hinzu kommen noch zwei weitere Lücken, die Sicherheitsexperten als nicht all zu schwerwiegend einstufen. Jüngst hatte Secunia in einem Bulletin vor einem IE-Bug gewarnt, den Phisher nutzen könnten, um beim Anwender den Eindruck zu erwecken, sie würden eine vertrauenswürdige Website besuchen.

Zum Patch-Day wird es auf jeden Fall ein Update geben, der das Verhalten des Internet Explorers bei ActiveX-Controls ändern wird, die eine Interaktion durch den Anwender zulassen. Diesen Patch bietet Microsoft bereits seit Anfang März zum Download an. Am kommenden Patch-Day wird der Patch nun an alle Windows-Anwender ausgeliefert. Microsoft zieht dadurch die Konsequenzen auf zwei von Eolas Technologies gehaltene Patente. Weitere Infos zu diesem Patch finden Sie in dieser PC-WELT Nachricht .

Wie gewohnt wird am kommenden Patch-Day auch das Sicherheitstool "Microsoft Windows Malicious Software Removal Tool" in einer neuen Version veröffentlicht werden.

0 Kommentare zu diesem Artikel
62274